David Litchfield, un chercheur des Laboratoires Accuvant, a démontré ce qu'il a baptisé l'exploit PWNORACLE contre la base de données Oracle 11g. L'opération consistait à présenter comment l'expert était parvenu à prendre le contrôle en tant qu'administrateur de la base de données d'Oracle. Son auditoire, abasourdit, n'a cessé d'applaudir, allant jusqu'à prendre en photo le code de l'opération qui était projeté sur l'écran de la salle de conférence.
En 2010, lors d'un précédent évènement Black Hat, David Litchfield avait déjà montré comment contourner la sécurité dans la base de données 11g en exploitant les vulnérabilités zero-day. Toutefois, l'exploit du jour représente une manipulation bien plus complexe.
Oracle progresse nettement en matière de sécurité
David Litchfield, a par ailleurs assuré qu'il avait déjà signalé à Oracle la vulnérabilité présentée et pensait que celle ci était dors et déjà résolue. Le chercheur, dont le bras était bandé suite à une morsure de requin survenue lors d'une plongée en cage de protection "pour quelques photos" a néanmoins souligné lors de son discours sur Oracle la "nette amélioration" dans la résolution rapide des failles trouvées dans les versions de bases de données de la firme au cours des deux dernières années.
Pourtant, les récents exploits des Anonymous pour pénétrer dans les database signifient que les gestionnaires de sécurité doivent prendre en compte et comprendre la façon dont les pirates s'y introduisent" a déclaré David Litchfield.
Black Hat : un chercheur prend le contrôle d'une base de données Oracle
Un chercheur en sécurité a créé la surprise lors de la Black Hat Conference. David Litchfield est en effet parvenu a pénétrer la database d'Oracle avant d'en prendre le contrôle... En tant qu'administrateur.